Japan
サイト内の現在位置
NECがサイバーセキュリティで協業する理由
攻撃への対処とリスクへの備えを同時に解決NEC、トレンドマイクロ、三井住友海上火災保険

昨今、パートナー企業との共創を軸にビジネス展開を進める企業が増えつつある。これからは、サプライチェーン全体でセキュリティを担保しておくことが事業継続に不可欠だからだ。2018年12月、NEC、トレンドマイクロ、三井住友海上火災保険の3社が、協業による新たなサービスをスタートしたのはその最たる例だろう。サイバー攻撃への対処とリスクへの備えを同時に解決する、この取り組みの狙いとは――。
サイバー攻撃が企業の経営の重要なリスクに
―― サイバー攻撃の被害が増えるとともに、攻撃の手口が巧妙になっているようです。今やすべての企業が攻撃を受ける可能性があります。

執行役員
SI・サービス&エンジニアリング担当 システムプラットフォーム担当
橋谷直樹
橋谷直樹氏(以下、橋谷) そのとおりです。かつてサイバー攻撃の対象は大手企業や重要インフラが中心でした。しかし、さまざまなモノがつながる現代社会では、IoT(モノのインターネット)やサプライチェーンなどセキュリティの脆弱性を狙った攻撃が増えています。中小企業も含めたあらゆる企業が狙われているわけです。自社から情報が漏洩するようなことがあれば、取引先との関係を損なうだけでなく、賠償責任などを問われることにもなりかねません。
大三川彰彦氏(以下、大三川) 当社は2018年に創業30周年を迎えました。ウイルス対策のパターンファイルをフロッピーに入れてお客様に届けていた創業当初から考えると、隔世の感があります。
懸念されるのは、攻撃者の手口が年々巧妙になってきていることです。大げさでなく、攻撃者もAI(人工知能)やビッグデータを使ってシステムの脆弱性を見つけ攻撃してきます。自社のシステムの穴をいかに速く発見し、対策を行うかが重要です。

その支援として、当社では脆弱性発見コミュニティ「Zero Day Initiative(ZDI)」を運営しています。世界で報告されるゼロデイ脆弱性のうち、約66%がZDIで発見されるほど、その実力には自信を持っています。ただし、攻撃者もさるもので、わずか1秒の間に、世界で数千、数万のウイルスが開発されるような状況です。まさにイタチごっこになっています。
中村光身氏(以下、中村) お二人のお話のように、サイバー攻撃が企業にとって大きなリスクになっています。例えば工場のIoT機器などが攻撃を受け、生産が停止すれば事業に大きなインパクトを与えます。その点で、セキュリティ対策は情報部門だけの問題ではなく、経営者の最重要課題といえます。
欧米の企業では、保険を活用し、サイバー攻撃に対するリスクヘッジを行う企業も増えています。欧米系の再保険会社の調査によると、サイバー保険の2018年度のマーケット規模(保険料)は全世界で推定40億米ドル、20年に80億米ドル、25年に200億米ドルになると予想されています。今後、自動車保険や火災保険と同じように、サイバー保険も加入するのが当然という時代が到来すると考えられます。
3社の協業により、画期的な脆弱性対策サービスを開発

―― 2018年12月には、NEC、トレンドマイクロ、三井住友海上の3社が協業し、サイバー保険を付帯した「サーバ脆弱性対策サービス」がリリースされました。
橋谷 サプライチェーン全体で対策を図っていくためには、従来のような検知・防御に重きを置いた対策だけでなく、システムや製品を企画構想・設計・開発する段階からセキュリティを組み込むセキュリティ・バイ・デザインの実践と、システムや製品を運用する段階で発見される脆弱性に対応することで、セキュアな状態を維持するための脆弱性管理が重要となってきます。
当社は創業以来100余年に渡り「ベタープロダクツ、ベターサービス」を標榜してきました。ものづくり、品質を大切にする遺伝子が、セキュリティにも受け継がれており、セキュアなシステム開発・運用の豊富な実績があり、セキュリティ・バイ・デザインにも取り組んでいます。
今回、いち早く脆弱性対策を取れるように、トレンドマイクロと三井住友海上との協業により、「仮想パッチ」の技術を活用することで、初動対応を迅速化し、サイバー保険を付帯することで、万が一被害が発生した際のリスク低減が取れるようにしました。

取締役副社長 日本地域担当
グローバルコンシューマビジネス担当 兼 IoT事業推進本部 本部長
大三川彰彦
大三川 「仮想パッチ」は、当社の総合サーバセキュリティ対策製品「Trend Micro Deep Security」を活用し提供するものです。一般的なセキュリティパッチの場合、自社のシステムの脆弱性を発見した後、OS(基本ソフト)やアプリケーションを停止して、これを適用する必要があります。人手やコストがかかるだけでなく、通常業務にも支障が出ます。
それに対して仮想パッチは、脆弱性を発見した場合、絆創膏のようにパッチを当てて、穴を迅速にふさぎます。脆弱性そのものを修復するわけではないので暫定的ではありますが、脆弱性が長期間放置されるリスクを低減することができ、その間に対策を行うことができます。仮想パッチの作成にあたっては、前述したZDIが世界中で収集する脅威情報を活用し、新たな脆弱性に迅速に対応します。
中村 大三川さんのお話のように、日々新たな脆弱性を攻撃するウイルスが生まれているような状況では「100%」の対策は不可能です。そこで、万が一サイバー被害が発生した場合に、フォレンジック(デジタル鑑識)解析などの費用や賠償金を当社の引き受けるサイバー保険で補償します。補償金額は、仮想パッチが適用された1サーバ、1事故当たり、フォレンジック解析が300万円、賠償金が600万円までとなります。
―― 「サーバ脆弱性対策サービス」は、サイバー攻撃への対処とリスクへの備えを包括的にサポートするサービスといえそうです。
橋谷 このサービスは、当社のクラウドサービスとして提供します。IT人材などの経営リソースが限られている中堅・中小企業のお客様にも、安心してお使いいただけるだけでなく、管理負担や導入コストを低減できます。もちろん、お客様のサーバ環境は、オンプレミス(自社所有)でもクラウドでも、サーバ1台から適用可能です。当社では、マルチクラウド対応の体制も整えており、つねに両方の環境への対応が可能となっています。
大三川 お客様ご自身でサーバの1台1台の脆弱性を発見し、セキュリティパッチを当てるといった対策を施すのはなかなか容易ではありません。その点で、餅は餅屋ではないですが、今回の「仮想パッチによるサーバ脆弱性対策サービス」などを利用し、任せるところは外部のプロに任せることで、本業であるコア業務に注力できるのではないでしょうか。

常務執行役員 東京企業第一本部長
中村光身
中村 企業にとっての大きなリスクは、事業継続が停止することです。その点でこのサービスは、仮想パッチにより既知の脅威に対応できるだけでなく、サイバー保険を活用することで、未知の脅威による万が一の攻撃にも対応できることです。
ちなみに、被害が発生した後にこれらの費用を計上すると財務的にもインパクトを与えることになりますが、あらかじめサービスに保険が付帯されることで、こうした費用に備えることができます。また、包括的なサービスとして保険料も含まれているため、個別に保険に加入するよりも割安になっています。いずれも、財務的なメリットがあるでしょう。
日本企業のセキュアな環境構築をさらに進化させる

―― 2018年末にサービスが開始されたばかりですが、今後どのように進化させていく考えでしょうか。
大三川 当社は本社を日本に置き、世界30カ国以上でソリューションを提供しています。これまで30年間、単体のパソコンから、ネットワークにつながるサーバ、さらにはクラウドと、環境の変化に対応しながら、日本企業の安心・安全をお手伝いしてきました。製造業をはじめ、日本企業はまだまだ守るべき領域があると感じています。今回、多くのお客様にサーバなどを提供し、マルチクラウド対応のNECと協業することで、日本の多くのお客様を守ることに貢献したいと願っています。
中村 当社が2018年4月に発表した新中期経営計画「Vision 2021」では、「CSV=Creating Shared Value」の考えのもと、サイバーリスクのような新しいリスクに対処することで社会との共通価値を創造することを掲げています。この提携を通じ、保険商品・サービスを通じて、お客様に安心と安全をお届けするとともに、今後、NECが展開するクラウドの分野においても、今回構築したスキームを横展開し、新たな保険商品設計も視野に入れて連携を進めていきたいと考えています。
橋谷 まずは、多くのお客様に、「仮想パッチによるサーバ脆弱性対策サービス」導入のメリットを知っていただき、万が一の際に、このような備えをしていることを示せることの重要性を経営者の方にも理解いただきたいです。本サービスのクラウドへの展開も含めて、3社の力を結集し、安心・安全な社会の実現を目指して、使命感を持って、取り組んでいきたいと考えています。
3社共催セミナー
「サイバーセキュリティ新時代」~サイバー攻撃への対処とリスクの備え~
日時:2019年3月14日(木)14:30~17:00(参加無料)